Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:8263 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
每日安全动态推送(02-14)   2020.02.14 08:35:03  52
威胁情报周报(2020.2.14)   2020.02.14 17:54:01  42
WiFi6来了,一个时代开启!   2020.02.17 10:47:06  39
[代码审计] - 云购CMS代码审计   2020.02.14 16:45:54  34
等保测评2.0:Windows安全审计   2020.02.15 18:00:01  33
每日安全动态推送(02-18)   2020.02.18 08:05:14  32
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)
本文来自公众号:TideSec安全团队   2020.02.14 08:00:17

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

额,工具篇最后一篇 了,后面就是shellcode免杀了。

文章打包下载及相关软件下载: https://github.com/TideSec/BypassAntiVirus

本专题文章导航

1.远控免杀专题(1)-基础篇: https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2.远控免杀专题(2)-msfvenom隐藏的参数: https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3.远控免杀专题(3)-msf自带免杀(VT免杀率35/69): https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4.远控免杀专题(4)-Evasion模块(VT免杀率12/71): https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5.远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6.远控免杀专题(6)-Venom免杀(VT免杀率11/71): https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7.远控免杀专题(7)-Shellter免杀(VT免杀率7/69): https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8.远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71): https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9.远控免杀专题(9)-Avet免杀(VT免杀率14/71): https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10.远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70): https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11.远控免杀专题(11)-Avoidz免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12.远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70): https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13.远控免杀专题(13)-zirikatu免杀(VT免杀率39/71): https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14.远控免杀专题(14)-AVIator免杀(VT免杀率25/69): https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55): https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56): https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69): https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55): https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56): https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69): https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

18.远控免杀专题(18)-ASWCrypter免杀(VT免杀率19/57): https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

19.远控免杀专题(19)-nps_payload免杀(VT免杀率3/57): https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA

20.远控免杀专题(20)-GreatSCT免杀(VT免杀率14/56): https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

21.远控免杀专题(21)-HERCULES免杀(VT免杀率29/70): https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

22.远控免杀专题(22)-SpookFlare免杀(VT免杀率16/67): https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA

23.远控免杀专题(23)-SharpShooter免杀(VT免杀率16/67): https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

24.远控免杀专题(24)-CACTUSTORCH免杀(VT免杀率16/67): https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

25.远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70):本文


免杀能力一览表

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的 windows/meterperter/reverse_tcp 模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本 5.0.0.8160 (2020.01.01),火绒版本 5.0.34.16 (2020.01.01),360安全卫士 12.0.0.2002 (2020.01.01)。

4、其他杀软的检测指标是在 virustotal.com (简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、Winpayloads介绍

Winpayloads,2019年开源的免杀payload生成工具,可以和Msf无缝对接,自身也可以作为独立远控软件来试用。主要是使用python对shellcode进行处理,然后编译成exe文件,从而达到免杀的效果。

二、安装Winpayloads

Winpayloads的常规安装比较复杂,依赖的软件比较多,需要安装winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto等等,所以官方后来直接把常规安装给去掉了,直接建议使用docker,docke安装起来就非常简单了。

两条命令,十来分钟搞定。

docker pull charliedean07/winpayloads:latestdocker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads

以后再运行只需要 docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads 就可以。

如果真想手动安装,可以查看官方wiki: https://github.com/nccgroup/Winpayloads/wiki/Installation

三、Winpayloads说明

Winpayloads使用了多种技术对shellcode进行处理,进行免杀和后渗透。

1、UACBypass功能:使用了PowerShellEmpire的 Invoke-BypassUAC.ps1

2、PowerUp提权:使用了 PowerShellEmpire的 PowerUp.ps1

3、Invoke-Shellcode:使用了PowerSploit的 Invoke-Shellcode.ps1

4、Invoke-Mimikatz:使用了PowerSploit的 Invoke-Mimikatz.ps1

5、Invoke-EventVwrBypass:利用eventvwr绕过uac

6、Persistence权限维持

7、本地web服务器分发payload,使用了 SimpleHTTPServer

8、使用Powershell在内存中加载shellcode

9、沙盒检测技术

10、加载自定义的shellcode

11、Psexec Spray成功连接后再目标主机上执行shellcode

四、利用Winpayloads生成后门

我这里以 Windows Meterpreter Reverse HTTPS 为例进行测试

在主菜单中选择4,然后输入msf监听的IP和端口

然后确认是否需要bypassUAC功能,需要的话还要选择操作系统类型,win7或win10,之后就可以生成我们需要的payload文件 /root/winpayloads/ibzgrkwc.exe

在测试机中执行

msf中监听 windows/meterpreter/reverse_https 可正常上线

打开杀软进行测试,火绒和360静态+动态均未报警。

virustotal.com平台免杀率为18/70,对exe来说还是不错的。

Winpayloads还可以使用 Windows Reverse Shell 模块直接生成一般的反弹payload,可用nc直接连接

nc监听4444端口,在测试机执行 dakghzil.exe 后可获得shell。

virustotal.com平台查杀率也为18/70

前面提到Winpayloads自身也可以作为独立远控软件来试用,在主菜单输入 stager 后,获得一串powershell代码,在测试机中执行后,可直接在Winpayloads中获得交互shell。

详细使用可参考 https://youtu.be/eRl5H5wHqKY

五、Winpayloads小结

Winpayloads使用比较简便,生成的payload免杀效果也是不错的,使用了多种技术来免杀和实施后渗透,唯一的缺点就是生成的payload都有点偏大,大约2.7M左右。

六、参考资料

Winpayloads - Stager Functionality: https://youtu.be/eRl5H5wHqKY




E




N




D







guān




zhù







men





Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号: